Message du visiteur par Antoinette Cost, co-rédactrice en chef du magazine IEC e-tech
La biométrie comprend des caractéristiques humaines physiques ou comportementales telles que les empreintes digitales, les motifs du visage, voix ou signature, qui sont distinctes pour les gens. Ils peuvent être utilisés numériquement pour reconnaître et permettre aux individus d’accéder aux nations, aux structures, aux systèmes et aux gadgets.
Pour les personnes qui ont du mal à garder à l’esprit les mots de passe ou qui ont des handicaps spécifiques, la biométrie peut simplifier la vie. Ils sont utilisés dans un nombre croissant d’applications et utilisent des options sans contact, qui aident à arrêter la propagation du COVID-19.
Il existe de nombreux exemples. Utilisés dans les aéroports et les systèmes de contrôle aux frontières, les scans de reconnaissance faciale reconnaissent les ressortissants et leur permettent de quitter un pays et d’entrer dans un autre. Dans d’autres situations, cette innovation peut ouvrir des portes et offrir aux utilisateurs agréés l’accès à des zones de sécurité de haut niveau. Dans les maisons, la reconnaissance vocale est utilisée pour contrôler le chauffage, l’éclairage et les systèmes de divertissement à domicile, et beaucoup d’entre nous l’utilisent pour effectuer des recherches rapides de détails. Les empreintes digitales offrent un moyen rapide d’ouvrir les smartphones et les iPad.
Bien que les qualités biométriques soient plus difficiles à reproduire, il existe des problèmes de sécurité entourant les systèmes qui les utilisent. L’un des défis avec les gadgets d’enregistrement des systèmes biométriques est que si quelqu’un souhaite les enfermer, aucune compréhension du système d’exploitation interne n’est nécessaire.
Quelqu’un peut utiliser une fausse empreinte digitale de couverture faciale pour accéder à un système , soit pour se faire passer pour quelqu’un d’autre, soit pour dissimuler sa propre identité. C’est ce qu’on appelle une attaque de présentation.
e-tech s’est entretenu avec Mike Thieme, rédacteur en chef de 2 normes mondiales, établies par le comité technique mixte CEI et ISO pour la biométrie. Les normes comprennent l’ISO / CEI 30107-3, qui couvre le dépistage et les rapports pour la détection d’attaque de présentation biométrique (PAD), et l’ISO / CEI 30107-4, qui examine la technique considérée comme de toutes nouvelles exigences associées au dépistage PAD dans téléphones portables.
Qu’est-ce que la détection d’attaque de présentation biométrique?
De nombreuses personnes sont familières avec l’idée qu’une fausse empreinte digitale, un masque et même un enregistrement vocal peuvent être utilisés pour obtenir une autorisation non autorisée accès à un système biométrique. Pendant la plus grande partie de l’histoire des technologies biométriques des entreprises, les dispositifs biométriques, tels que les capteurs d’empreintes digitales, ont prétendu être capables de détecter quand ces «attaques» se produisent. Néanmoins, certains appareils sont bien meilleurs que d’autres. Nous décrivons la capacité de détecter les attaques comme détection d’attaque de présentation biométrique (PAD). Nous appelons le produit utilisé pour mener une attaque un instrument d’attaque de discussion (PAI).
De plus, cette idée ne se limite pas simplement aux attaques fausses ou artificielles comme un masque. Il s’agit également de cas où des individus nuisent à leurs attributs biométriques. L’exemple intemporel de ceci est celui des individus qui endommagent leurs empreintes digitales pour éviter d’être détectés lors d’une recherche dans une base de données d’empreintes digitales, comme dans des applications criminelles.
Quels sont certains des obstacles?
Les attaquants ayant accès au matériel et aux logiciels biométriques, et avec du temps et de l’argent, peuvent développer de fausses biométries extrêmement réalistes et difficiles à détecter. Par exemple, un appareil à empreintes digitales peut essayer de trouver une manière spécifique dont le doigt prend et montre la lumière. Avec suffisamment de temps, les agresseurs peuvent rétroconcevoir les aspects liés à la détection d’attaque de présentation biométrique.
Ce n’est qu’une partie du défi. Le problème plus grave est peut-être que les attaques biométriques sont rares. De nombreuses transactions biométriques sont typiques dans le sens où il ne s’agit que de la personne autorisée qui utilise le gadget (par exemple, en essayant de déverrouiller un iPhone).
Cela signifie que les concepteurs de systèmes biométriques ne peuvent pas non plus détecter les attaques par discussion agressif ou sensible. Si tel était le cas, les utilisateurs authentiques seraient fréquemment refusés, ce qui serait inapproprié. Trouver le compromis idéal ici est difficile.
Que fait la partie 4 de la norme?
ISO / CEI 30107-3 définit des méthodes d’évaluation des performances de détection des attaques par discussion (PAD) pour l’ensemble domaine des systèmes biométriques, qui va de l’identification nationale à la sécurité des ordinateurs de bureau. La troisième partie réfléchit également aux cas où la détection des attaques par discussion est un sous-système différent et autonome.
Les appareils mobiles sont un sous-ensemble un peu mais important de l’espace général des problèmes PAD. Nous avions besoin d’un profil qui prenne en compte les domaines et les exigences de la partie 3 qui s’appliquent aux téléphones mobiles et le simplifie pour les testeurs qui souhaitent se concentrer sur les téléphones mobiles.
Par exemple, les téléphones mobiles sont des systèmes complets – vous ne pouvez pas les démonter et découvrir quelle partie du gadget fonctionne bien. Le test nécessite d’examiner le système complet, avec une interaction en temps réel. C’est une immunité diplomatique.
L’ISO / CEI 30107-4 le fait et développe des exigences supplémentaires, non incluses dans la Partie 3. Pour chaque exigence, il définit une approche pour le test PAD pour les appareils mobiles.
Quelles sont quelques-unes des exigences supplémentaires pour le dépistage des téléphones mobiles?
Pour les téléphones mobiles, l’évaluation est généralement limité à un petit nombre de sujets, peut-être quelques centaines, en raison de l’exigence de temps réel. Cette petite taille d’échantillon implique qu’il serait difficile de vérifier les performances jusqu’à des taux d’erreur extrêmement bas, tels que 0,01%.
De plus, si un instrument d’attaque de discussion (PAI) « cesse de fonctionner » – indiquant que il ne correspond pas à sa cible – il est difficile de déterminer si l’échec était dû à une inégalité biométrique ou à la détection d’un PAI. Des métriques spécifiques sont donc nécessaires pour combiner ces 2 cas d’échec en un seul.
Pouvez-vous parler des différents rôles dans les tests PAD?
Parmi les aspects les plus intrigants du dépistage PAD se trouvent les différents fonctions que les gens pourraient occuper. Ces rôles peuvent être incertains et complexes. La présentation spécifique du PAI à un téléphone mobile – le présentateur PAI – peut avoir un impact sur l’efficacité du PAD si leur attribut biométrique réel peut être détecté en dessous du PAI, ou s’ils ne sont pas expérimentés dans l’utilisation de l’appareil mobile. Un rôle supplémentaire est la source PAI, ou l’individu dont les qualités biométriques sont utilisées pour créer le PAI. C’est le «donneur» de la fausse empreinte digitale. Et peut-être que le rôle le plus essentiel est celui du développeur PAI, qui construit ou développe des PAI en utilisant à la fois la créativité et les compétences en ingénierie. Chaque fonction s’ajoute à la méthode d’évaluation globale et doit être prise en considération.
Initialement publiée dans le numéro e-tech 02/2021.
À propos de l’auteur
Antoinette Cost est co-éditrice du magazine IEC e-tech. Elle écrit sur les exigences et la certification pour les détails et les innovations d’interaction et les ressources renouvelables.
AVIS DE NON-RESPONSABILITÉ: Les informations sur l’industrie de L’Entrepreneur sont envoyées au contenu. Les opinions révélées dans cet article sont celles de l’auteur et ne montrent pas toujours les vues de L’Entrepreneur.
.
